home *** CD-ROM | disk | FTP | other *** search
/ The Unsorted BBS Collection / thegreatunsorted.tar / thegreatunsorted / texts / locksmith / inform-5 < prev    next >
INI File  |  1993-06-08  |  24KB  |  372 lines
  1. [The following is the appropriate EXCERPT from Informatik 5]
  2.  
  3. [You should get Informatik 5 if you are interested in locks]
  4.  
  5.  
  6. Simplex 5-button combination locks
  7. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  8. (*Hobbit*'s in-depth evaluation)
  9.  
  10.      This deals with the Simplex or Unican 5-button all-mechanical combination
  11. locks.  They are usually used in a variety of secure but high-traffic
  12. applications, and come in a number of flavors: dead bolt, slam latch, lock
  13. switches for alarms, buttons in a circle or a vertical line, etc.  The internal
  14. locking works are the same across all of these.  Herein will be described the
  15. mechanical workings and a method of defeating the lock that falls out by
  16. logical inference and observations from playing with it.
  17.  
  18. The internals
  19.  
  20.      Caveat: If this seems unclear at first, it is because the absolutely best
  21. way to understand the inner mysteries is to take a Simplex lock apart and study
  22. it.  It is highly recommended that the reader obtain and disassemble one of the
  23. units while studying this; otherwise the following may be confusing.  The
  24. locking mechanism box is swaged together at each end, but it is trivial to open
  25. up without destroying it.  To set a lock up for study, remove the back, leaving
  26. the front plate held on by its Jesus clip.  Put a spare thumb turn down over
  27. the shaft so you have something to grab.  Take care not to lose the button
  28. connecting pins; they drop out.
  29.  
  30.      In the round configuration, the buttons talk via bent bars in the
  31. faceplate to the same vertical column as the straight ones.  Thus all buttons
  32. henceforth shall be referred to as if they were in a straight vertical row,
  33. numbered 1 to 5 reading downward.  The actual locking mechanism inside is a
  34. small metal box, about 3 inches high and .75 x .75 inch across the base.  It
  35. contains five tumblers, one corresponding to each button, a common shift bar,
  36. and a couple of cams to handle reset and unlocking.  The user dials the
  37. combination and turns the handle to the right to open the lock, or to the left
  38. to reset any dialed digits if he made a typo.  If the proper combination has
  39. not been diald yet, the shaft will not turn to the right.  Setting a
  40. combnation shall be described later.  Some of the linear-style locks are
  41. actually made by Unican, but have the Simplex box inside.  For these, a
  42. clockwise twist serves as both open and reset.  There is a detent plate and a
  43. screwy lever system; if the lock is not open yet, the lever cannot turn to the
  44. *box*'s right.  The detent slips, allows the levers to shift the other way, and
  45. the box arm is then turned to the left.  If the detent does not slip, it's
  46. open, and the plate locks to the latch shaft and pulls it back.
  47.  
  48.      Each of the five tumblers has six possible positions.  Each button does
  49. nothing but push its corresponding tumbler from the 0 position to the 1
  50. position.  Therefore, each button can only be used once, since once the tumbler
  51. has moved, the button has no further effect.  The trick comes when *subsequent*
  52. buttons are pushed.  Each button press not only shoves its tumbler from 0 to 1,
  53. it also advances any "enabled" tumblers one more step.  When a tumbler is
  54. enabled, its corresponding gear has engaged the common bar and pushed it around
  55. one position, so the next button press will do this again, thus taking
  56. previously enabled tumblers around one more notch.  This way, the further-in
  57. tumbler positions can be reached.  It can be seen that there are undialable
  58. combinations; for instance, only *one* tumbler can reach position 5 for a valid
  59. combination [Positions labeled 0 thru 5, totalling six].  If one sits down and
  60. figures out possible places for the tumblers to go, many combinations are
  61. eliminated right away, so the number of possibilities is *not* 6^5 as one might
  62. expect.  Two-at-once pushes are also valid, and are *not* the same as pushing
  63. the given two in some other order.  Pushing two [or three or ...] at once
  64. simply enables two tumblers at once and shoves them to position 1 at the same
  65. time.  [This of course leaves less buttons unused to push them in farther!] The
  66. tumblers themselves are small round chunks of metal, with gear teeth around the
  67. top half and a notch cut into the bottom edge.  When all these notches line up
  68. with the locking bar, the lock is open.  The tumblers are mounted on a vertical
  69. shaft so they can spin, with the locking bar fingers resting against the bottom
  70. of each one.  The locking bar is prevented from rising if any notch is turned
  71. away from it.  Juxtaposed to the tumblers is another shaft containing idler
  72. gears, which in turn talk to the common bar in the back.  The intermediate
  73. shaft slides up and down and makes combination changes possible.  Note: The
  74. buttons actually talk to the idler gears and not the tumblers themselves.  This
  75. is necessary since during a combo change, the tumblers cannot move because the
  76. locking bar teeth are sitting in the notches.
  77.  
  78. [Editor's note:  Simplex locks are set at the factory with a default code of
  79. (2-4), 3.  This is often not even changed.]
  80.  
  81. Combination change, other random facts
  82.  
  83.      Once you know the current combination, you might want to change it.
  84. Instructions for doing this undoubtedly come with the lock; but it's real easy.
  85. There is a screw in the top with a hex hole; remove this from the lock body.
  86. Dial the proper combination, but don't move the handle.  Press straight down
  87. through the hole with a small screwdriver, until you feel something go "thunk"
  88. downward.  The lock is now in change mode.  Reset the tumblers [leftward
  89. twist], enter your new combination, twist the handle as though opening the
  90. lock, and your change is now in effect.  Re-insert the screw.  This does the
  91. following: The thing you hit with the screwdriver pushes the tumblers down onto
  92. the locking bar [which is why the proper combination must be entered], and
  93. disengages them from their idler gears.  Button presses turn the *idler*
  94. *gears* around, and then the opening action shoves the tumblers back up to mesh
  95. with these gears in their new positions.  A subsequent reset mixes the tumblers
  96. up again to follow the new combination.  This description is admittedly
  97. somewhat inadequate; the right thing to do is take one of the locks apart and
  98. see for one's self what exactly happens inside.
  99.  
  100.      The Unican model has a disk-locked screw on the rear side.  Removing this
  101. reveals a round piece with a flat side.  Twist this clockwise to enable change
  102. mode as in the above.  This lock, of course, would be a little more secure
  103. against random people changing the combination for fun since you ostensibly
  104. need a key to get at it.  Keep in mind that "reset" on these is done by turning
  105. the knob all the way *clockwise* instead.  There is a linkage that ensures that
  106. the shaft inside goes counterclockwise for the time that change mode is
  107. enabled.
  108.  
  109.      It is amusing to hear local locksmiths call the Simplex internals a
  110. "computer".  It would seem that none of them have taken one apart to see what
  111. is really inside; the box is painted black as far as they are concerned and
  112. non-openable.  Obtaining one is the unquestionably best way to learn what's in
  113. there.  Unfortunately they cost on the order of $120, a price which clearly
  114. takes advantage of the public's ignorance.  These locks are *not* pick-proof
  115. after all, and anyone who maintains that they are is defrauding the customer.
  116. There are a variety of ways to increase the picking difficulty, to be discussed
  117. elsewhere.  Your best bet is to borrow one from somewhere for an evening and
  118. spend the time learning its innards.
  119.  
  120. Determining an unknown combination
  121.  
  122.      Contrary to what the marketing reps would have you believe, the locks can
  123. be opened fairly quickly without knowing the set combination and without
  124. damaging the lock.  Through a blend of a soft touch, a little hard logic, and
  125. an implicit understanding of how the locking mechanism works, they generally
  126. yield within five minutes or so.  [There are *always* exceptions...]
  127.  
  128.      This method requires that one does not think in terms of a sequence of
  129. button presses.  One must think in terms of tumbler positions, and simply use
  130. the buttons to place tumblers where desired.  For practical description
  131. purposes, it will be assumed that the buttons connect right to the tumblers,
  132. rather than the idler gears that they really do.  The idler gears are a
  133. necessary part only during combination changes.  Unless you are doing a change,
  134. considering it this way is pretty close to the facts.  Remember that a 0
  135. position means the button was never pushed, and 5 is enabled and shifted as far
  136. as possible.
  137.  
  138.      Turning the thumb handle to the right [clockwise] raises the locking bar
  139. against the tumblers.  Since the lock is never machined perfectly, one or more
  140. tumblers will have more pressure on it than other ones, and this shows up as
  141. friction against it when it is turned via the button.  This friction is felt in
  142. the short distance between fully-extended and the detent on the button [the
  143. first 2 or 3 mm of travel].  Some will travel easily to the detent, and others
  144. will resist efforts to push them in.  Suppose you are twisting the handle, and
  145. tumbler 1 has lots of pressure on it [you can feel this when you try to push
  146. button 1 in].  When you back off the tension on the handle a little bit, the
  147. button can be pushed in against the resistance.  The fact that the button has
  148. resistance at position 0 tells you that tumbler 1's proper position is *not* 0,
  149. or there would be no pressure if the notch was there!  Upon pushing button 1
  150. in, you find that no pressure has appeared at any other button.  This
  151. eliminates position 1 for tumbler 1, also.  Now, how do you get tumbler 1 to
  152. different positions so you can test for pressure against other ones?  Push
  153. subsequent buttons.  Push any other button, and tumbler 1 advances to position
  154. 2.  Ignore what the other tumblers are doing for the moment.  Now, perhaps
  155. another button has some resistance now.  This means that tumbler 1 is either at
  156. the right position, or getting close.  Basically you are using other tumblers
  157. to find out things about the one in question.  [Keep in mind that the first one
  158. with friction won't *always* be tumbler 1!  Any tumbler[s] could have the first
  159. pressure on them.] Continuing, push another "don't care" button.  A "don't
  160. care" button is one that is not the one you're trying to evaluate, and not the
  161. one that recently showed some friction.  What you want to do is advance tumbler
  162. 1 again without disturbing anything else.  Did the pressure against your test
  163. tumbler get stronger, or disappear?  If it got stronger, that points to an even
  164. higher probability that tumbler 1 is supposed to be at 3, rather than 2.  If
  165. the pressure vanished or became less, 1 has gone too far, and you were safer
  166. with it at position 2.  Let's assume that the pressure against your test
  167. tumbler increased slightly when tumbler 1 was at 2, increased even more when
  168. tumbler 1 was at 3 and vanished when you pushed it onward to 4.  Reset the
  169. lock.  You now know the proper position of tumbler 1 [that is, whatever tumbler
  170. first had pressure on it].  You've already drastically reduced the number of
  171. possible combinations, but you aren't finished yet.
  172.  
  173.      You can now eliminate positions for the next one or two tumblers the same
  174. way -- but to set things up so you can feel the pressure against these, you
  175. must ensure that your newly-known tumbler [1 in this case] is in its proper
  176. position.  It is useful to make a little chart of the tumbler positions, and
  177. indicate the probabilities of correct positions.
  178.  
  179.                 Positions
  180.  
  181.              0  1  2  3  4  5
  182.              ----------------
  183.         1 :  L  L  +  T  L  |   <-- Indicates that tumbler 1 is not
  184.                                 0, not 1, maybe 2, more likely 3.
  185. Tumbler 2 :  |  |  |  |  |  |
  186. number
  187.         3 :  |  |  |  |  |  |
  188.  
  189.         4 :  L  |  |  |  |  |   <-- Indicates that tumbler 4 is not 0.
  190.  
  191.         5 :  |  |  |  |  |  |
  192.  
  193.      This chart is simply a bunch of little vertical lines that you have drawn
  194. in a 5x6 matrix; the topmost row corresponds to button 1 and the lowest to 5.
  195. Mark the probabilities as little hash marks at the appropriate height.  The
  196. leftmost bar indicates position 0, rightmost 5; a high mark on the left side
  197. indicates that the tumbler is 0, or is never used.  The relative heights of
  198. your tick marks indicate the likelihood of the notch on the respective tumbler
  199. being there.  If you don't know about a position, don't mark it yet.  This
  200. chart serves as a useful mnemonic while learning this trick; as you gain
  201. experience you probably won't need it anymore if you can remember tumbler
  202. positions.
  203.  
  204.      A tumbler at the 0 position is already lined up before any buttons are
  205. pressed.  This will feel like a lot of loose play with a little bit of pressure
  206. at the end of the travel, just before the enable detent.  Be aware of this;
  207. often enough the first button with pressure can be a 0, and if you aren't
  208. watching for 0 positions you can easily assume it's a don't care, push it, and
  209. screw your chances of feeling others.  Make sure your "don't care" test buttons
  210. aren't supposed to be at 0 either.  It's a good idea to run through and try to
  211. find all the zeros first thing.
  212.  
  213.      Let us continue from the above.  You have found that tumbler 1 is most
  214. likely to bet at position 3, with a slim chance of position 2.  This is marked
  215. in the above chart.  The reason this can happen is that the tops of the locking
  216. bar teeth are slightly rounded.  When the tumbler is one away from its opening
  217. position, the locking bar can actually rise higher, since the notch is halfway
  218. over it already.  So don't assume that the first increase in pressure on other
  219. buttons is the right position for the one you're finding out about.  Let's
  220. assume that the next pressure showed up on button 4.  You can feel this when
  221. tumbler 1 is at position 3; to get tumbler 1 out there, let's say you used the
  222. sequence 1,2,3.  2 and 3 were your "don't care" buttons used only to push 1
  223. around.  Therefore now, tumbler 1 is at position 3, 2 is at 2, and 3 is at 1.
  224. 5 and 4 are at 0, and can therefore be felt for pressure.
  225.  
  226.      The next step is to find the proper position for the next button with
  227. pressure against its tumbler.  Many times you'll get more than one that exhibit
  228. pressure at the same time.  Figure out which button has more pressure on it now
  229. with your first tumbler in the right position.  In this example, only 4
  230. applies.  You now want to advance tumbler 4 to different places, *while*
  231. keeping 1 at its proper place.  1 must always advance to 3 to free the locking
  232. bar enough to press on other tumblers.  To place tumbler 1 at position 3 and 4
  233. at position 1, you would do something like 1,2,4 and check 3 and 5.  To place
  234. tumbler 1 at position 3 and 4 at 2, you would do something like 1,4,2.  To
  235. place 1 at 3 and 4 at 3, you have to press 1 and 4 at the same time, and then
  236. advance that mess by two positions.  If you use 2 and 3 for this, the notation
  237. is (14),2,3, which means 1-with-4, then 2, then 3.  You can also do 4,1,2,5 to
  238. put 4 at 4 and check 3.  If all these tests fail, that is, no pressure appears
  239. at any other button, you can start assuming that 4 is supposed to be way out
  240. there at position 5.  For the example, let's say you did 1,4,2 and pressure
  241. showed up on button 3.  To double-check this, you did (14),2,5, and the
  242. pressure on 3 went away.  So tumbler 4 must have gone too far that time.  Place
  243. a fairly high tick mark on the chart at tumbler 4, position 2 to indicate the
  244. probability.
  245.  
  246.      Note: A better way to do that last test, to avoid ambiguity, is to do
  247. 1,(42),5 and check 3, then do (14),2,5 and check 3.  This ensures that the only
  248. change you have made is to move tumbler 4 from 2 to 3 an avoids the possibility
  249. of movement of tumbler 2 giving bogus results.  Through the entire process, you
  250. want to try to change one thing at a time at every point.  Sometimes one of
  251. this sort of possible test setup won't tell you anything and you have to try
  252. another one [in this case, perhaps 1,(45),2 and then (14),5,2 while checking 3.
  253. This has simply swapped the positions of 2 and 5 during your testing].
  254.  
  255.      You now know two tumbler positions, with a high degree of confidence, and
  256. have further reduced the possible combinations.  From here, you could mix
  257. tumblers 2,3 and 5 into the sequence with various permutations, as long as you
  258. place 1 and 4 correctly every time.  This would still take some time and brain
  259. work ...  let's try to find out something about some other buttons.  Place 1
  260. and 4 where they're supposed to go ...  the sequence 1,4,2 will do it, and see
  261. what's up with the other buttons.  1,4,3 will leave 2 and 5 available.  You
  262. find eventually that 2 and 3 have the next bit of pressure distributed between
  263. them [and are nonzero], and 5 feels like a 0, as described above.  To confirm
  264. this, advance 5 along with some other button and check 3.  Bingo: There is no
  265. pressure on 2 when 5 is enabled [and you have not changed anything else besides
  266. 5's position], so you can firmly decide that 5 is 0 after all.  So leave it
  267. there.  [You did this by advancing 1 to 3 and 4 to 2, as usual, so you can feel
  268. 2's pressure in the first place.]
  269.  
  270.      By now you should know the proper positions of three of the tumblers, and
  271. have eliminated any other zeros by feeling their initial pressure.  Now, since
  272. 2 and 3 have the next pressure on them, try and find out more about them.  You
  273. know they aren't zero; suppose we try 1?  To do this you must get one of them
  274. to 1, 1 to 3 as usual, 4 to 2, and leave 5 alone.  How?  Use hitherto unknown
  275. buttons as dummies to position the tumblers right.  For instance, the sequence
  276. 1,4,3 will do what you want here; you then check pressure on 2.  Or 1,4,2 and
  277. check 3.  Here you may notice that the pressure on the leftover is a *little*
  278. stronger than before, but not enough to make any sure judgement.  Well, now you
  279. want to advance an unknown to position 2 - but you suddenly notice that if you
  280. do [by doing something like 1,(42),3] there are no free buttons left to test
  281. for pressure!  'Tis time to try possibilities.  Your only unknowns are 2 and 3
  282. now.  You must now advance 1 and 4 to their proper positions, leaving 5 alone,
  283. while sprinkling the unknowns around in the sequence in different permutations.
  284. Use your chart to remember where the known tumblers must go.  Sometimes you get
  285. two possibilities for a tumbler; you must work this into the permutations also.
  286. In this particular example, you know that either 2 or 3 [or both!] must be the
  287. last button[s] pressed, since *something* has to get pressed after 4 to advance
  288. 4 to position 2.  An obvious thing to try is putting both the unknowns at
  289. position 1 by doing 1,4,(23).  Try the handle to see if it's open.  No?  Okay,
  290. now leave one of the unknowns down at 1 and mix the other one around.  For
  291. instance, for 2 at 1 and 3 at 2, you do 1,(34),2 -- nope.  Advance 3 one more;
  292. (13),4,2 *click* -- huh??  Oh, hey, it's *open*!!
  293.  
  294. Well, when you are quite through dancing around the room, you should know that
  295. your further possibilities here ran as follows:
  296.  
  297.         3,1,4,2    ; to end the permutations with 2 at 1
  298.         1,(24),3   ; and permutations involving 3 at 1.
  299.         (12),4,3
  300.         2,1,4,3
  301.  
  302.      One may see how things like 2,1,(34),x are eliminated by the fact that 1
  303. must get to 3, and 5 must stay still.  Since only 4 buttons could be used, no
  304. tumbler can get to position 5 in this particular combination.  Note also that
  305. the farther *in* a tumbler has to go, the earlier its button was pressed.
  306.  
  307.      If all this seems confusing at first, go over it carefully and try to
  308. visualize what is happening inside the box and how you can feel that through
  309. the buttons.  It is not very likely that you can set up your lock exactly as
  310. the example, since they are all slightly different.  Substitute your first-
  311. pressure button for the 1 in this example.  You may even have one that exhibits
  312. pressure against two or more tumblers initially.  Just apply the
  313. differential-pressure idea the same way to find their most likely positions.
  314. The example is just that, to demonstrate how the method works.  To really
  315. understand it, you'll have to set your lock up with some kind of combination,
  316. and apply the method to opening it while watching the works.  Do this a few
  317. times until you understand what's going on in there, and then you'll be able to
  318. do it with the lock assembled, and then in your sleep, and then by just waving
  319. your hands and mumbling....
  320.  
  321.      A 5-press combination makes life a little tougher, in that you lose
  322. versatility in your freedom of test positions, especially if your first-
  323. pressure tumbler is at position 5.  Here you can use the "almost" feature to
  324. your advantage, and advance the errant tumbler to one before its proper spot,
  325. and hope to see increased pressure on other tumblers.  When a tumbler is one
  326. away from right, the locking bar tab is hanging a large section of itself into
  327. the tumbler notch, and the tab's top is slightly rounded.  So it can rise a
  328. little higher than before.  If you twist the handle fairly hard, you can
  329. distort the locking bar slightly and make it rise higher [but don't twist it
  330. hard enough to break away the safety clutch in the shaft!] The chances of
  331. someone setting this sort of combination without prior knowledge about the
  332. *specific* lock are almost nonexistent.
  333.  
  334.      As if that wasn't enough, the next thing to deal with is the so-called
  335. "high-security" combinations involving half-pushes of buttons.  The long
  336. initial travel of the tumbler permits this.  If you look at your open mechanism
  337. and slowly push in a button, you'll see that the tumbler actually travels *two*
  338. positions before landing in the detent, and further motion is over one position
  339. per press.  There is no inherently higher security in this kind of combination;
  340. it's just a trick used against the average person who wouldn't think of holding
  341. a button down while twisting the latch release.  It's quite possible to defeat
  342. these also.  When you are testing for pressure against a tumbler set at
  343. "one-half", you'll feel a kind of "drop-off" in which there is pressure
  344. initially, and then it disappears just before the detent.  Before testing
  345. further buttons, you'll have to "half-enable" the appropriate "one-half"
  346. tumblers so the locking bar can rise past them.  Set your lock up with a couple
  347. of combinations of this type and see how it works.  Note that you must hold
  348. down the "half" buttons just before the detent click while setting or opening.
  349. This makes an effective 7 positions for each tumbler, but in a standard [no
  350. "halfs"] setup, it's effectively 6.  This is Simplex's "high-security" trick
  351. that they normally only tell their high-dollar military customers about.  After
  352. working the lock over for a while, it's intuitively obvious.
  353.  
  354.      The Unican type has no direct pressure direction of twist; if you turn too
  355. far to the right you only reset the tumblers.  What you must do is hold the
  356. knob against the detent release just tight enough to press the locking bar
  357. against the tumblers inside the box but not hard enough to slip the detent.
  358. There is a fairly large torque margin to work with, so this is not difficult to
  359. do.  Unicans do not twist to the left at all, so ignore that direction and work
  360. clockwise only.
  361.  
  362. Possible fixes
  363.  
  364.      The obvious things improvements to make are to cut notches of some kind
  365. into the locking bar teeth and the tumblers, so that the pressure can't be as
  366. easily felt.  Another way might be to have a slip joint on the locking bar that
  367. would release before a certain amount of pressure was developed against it, and
  368. thus never let the tumblers have enough pressure against them to feel.  The
  369. future may see an improved design from Simplex, but the likelihood does not
  370. seem high.  They did not seem interested in addressing the "problem".
  371.  
  372.